[go: up one dir, main page]

CN112399412B - 会话建立的方法及装置、通信系统 - Google Patents

会话建立的方法及装置、通信系统 Download PDF

Info

Publication number
CN112399412B
CN112399412B CN201910766123.9A CN201910766123A CN112399412B CN 112399412 B CN112399412 B CN 112399412B CN 201910766123 A CN201910766123 A CN 201910766123A CN 112399412 B CN112399412 B CN 112399412B
Authority
CN
China
Prior art keywords
session
policy
request message
function entity
entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910766123.9A
Other languages
English (en)
Other versions
CN112399412A (zh
Inventor
于小博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201910766123.9A priority Critical patent/CN112399412B/zh
Priority to US16/995,524 priority patent/US11368842B2/en
Publication of CN112399412A publication Critical patent/CN112399412A/zh
Priority to US17/738,488 priority patent/US11770702B2/en
Application granted granted Critical
Publication of CN112399412B publication Critical patent/CN112399412B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种会话建立的方法及装置、通信系统。其中,该方法包括:会话管理功能实体向策略控制功能实体发送第一请求消息,所述第一请求消息中包括密钥标识;所述会话管理功能实体接收所述策略控制功能实体返回的第一应答消息,其中,所述第一应答消息中包括与所述密钥标识对应的会话的会话策略;所述会话管理功能实体依据所述会话策略建立或修改会话。本申请解决了相关技术中核心网无法感知使用AKMA机制生成的业务或会话导致不能使用应用层密钥区分相应的服务的技术问题。

Description

会话建立的方法及装置、通信系统
技术领域
本申请涉及通信领域,具体而言,涉及一种会话建立的方法及装置、通信系统。
背景技术
物联网技术是继计算机和互联网之后的第三次信息技术革命,具有实时性和交互性的特点,已经被广泛应用于城市管理、数字家庭、定位导航、物流管理、安保系统等多个领域。物联网安全课题变得越来越重要。物联网设备需要通过一套安全机制来与应用服务器之间进行通信,保障服务以及用户隐私数据的安全。
为了解决应用服务器和物联网设备之间的鉴权以及安全通道建立等问题,3GPP(第三代移动通信标准化组织)定义了一种通用认证机制(General BootstrappingArchitecture,简称为GBA)。GBA提供了一种在用户设备(User Equipment,简称为UE)和服务器之间建立共享密钥的通用机制,它基于认证与密钥协商(Authentication and KeyAgreement,简称为AKA)鉴权机制来实现。AKA鉴权机制是2G/3G网络中使用的一种相互鉴权和密钥协商的机制,GBA充分利用了AKA鉴权机制的优点来完成业务的安全引导过程。
如图1所示,BSF(Bootstrapping服务功能)为GBA机制引入的网元。BSF可以通过Zh接口与归属位置寄存器(Home Location Register,简称为HLR)或者归属签约服务器(HomeSubscriber Server,简称为HSS)获取相关的用户数据,例如国际移动用户识别码(International Mobile Subscriber Identity)以及Ki。BSF可以通过Ub接口与用户设备(UE,User Equipment)通过AKA协议进行双向鉴权,并且在成功鉴权后,生成共享密钥,其中,共享密钥将用于UE和NAF之间信息的安全传输。BSF会通过Zn接口将该共享密钥以及相关密钥参数、用户数据等传递给网络应用功能(Network Application Function,简称为NAF)。BSF通过Dz接口与用户位置定位功能(Subscription Locator Function,简称为SLF)连接。
目前基于3GPP认证的应用层密钥与认证管理(Authentication and keyManagement for Application Based on 3GPP credential in 5G,简称为5G AKMA)项目正在研究如何将运营商密钥开放能力适配到5G系统中,项目中提出了一个新的锚点功能(Anchor Function),用来管理在5G密钥体系中引入的新的密钥KAKMA,以及根据AAKMA生成应用层的端到端密钥KAF
但是AKMA方案只是单一的从5G核心网密钥体系中生成一个用于应用层加密的密钥,核心网的部分网元无法感知到用AKMA生成应用密钥的业务或者会话,因此无法根据不同的应用层密钥来提供可区分的服务。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种会话建立的方法及装置、通信系统,以至少解决相关技术中核心网无法感知使用AKMA机制生成的业务或会话导致不能使用应用层密钥区分相应的服务的技术问题。
根据本申请实施例的一个方面,提供了一种会话建立的方法,包括:会话管理功能实体(Session Management Function,简称为SMF)向策略控制功能实体(Policy ControlFunction,简称为PCF)发送第一请求消息,第一请求消息中包括密钥标识;会话管理功能实体接收策略控制功能实体返回的第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略;会话管理功能实体依据会话策略建立或修改会话。
根据本申请实施例的另一个方面,提供了一种会话建立的方法,包括:策略控制功能实体接收会话管理功能实体发送的第一请求消息,第一请求消息中包括密钥标识;策略控制功能实体向会话管理功能实体发送第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略,第一应答消息用于使得会话管理功能实体依据会话策略建立或修改会话。
根据本申请实施例的又一个方面,提供了一种会话建立的方法,包括:锚点功能(Anchor Function,简称为AAuF)获取密钥标识;锚点功能实体向策略控制功能实体发送第一消息,其中,第一消息中包括密钥标识和与密钥标识对应的会话的会话策略。
根据本申请实施例的一个方面,提供了一种会话建立的装置,该装置应用于会话管理实体中,该装置包括:发送模块,应用向策略控制功能实体发送第一请求消息,第一请求消息中包括密钥标识;接收模块,用于接收策略控制功能实体返回的第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略;处理模块,用于依据会话策略建立或修改会话。
根据本申请实施例的一个方面,提供了一种通信系统,该通信系统包括:会话管理功能实体和策略控制功能实体,其中:会话管理功能实体,用于向策略控制功能实体发送第一请求消息,第一请求消息中包括密钥标识;以及依据策略控制功能实体反馈的会话策略建立或修改会话;策略控制功能实体,用于向会话管理功能实体发送第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略。
在本申请实施例中,采用会话管理实体向策略控制功能实体发送包括密钥标识的第一请求消息,并接收策略控制功能实体返回与密钥标识对应的会话策略,从而依据会话策略建立或修改会话的方式,由于在会话建立或修改过程中,在核心网中的会话管理实体和策略控制功能实体中的请求消息和应答消息中设置了密钥标识,从而解决了相关技术中核心网无法感知使用AKMA机制生成的业务或会话导致不能使用应用层密钥区分相应的服务的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据相关技术的一种GBA的架构示意图;
图2是根据本申请实施例的一种可选的会话建立的方法的流程示意图。
图3是根据本申请实施例的一种可选的会话建立的方法的流程示意图;
图4a和4b是根据本申请实施例的一种会话建立的方法的流程示意图;
图5是根据本申请实施例的一种会话建立的装置的结构示意图;
图6是根据本申请实施例的另一种会话建立的方法的流程示意图;
图7是根据本申请实施例的另一种可选的会话建立的方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
还需要说明的是,本申请实施例中涉及的各个功能实体,例如锚点功能(AnchorFunction,又称为AKMA鉴权功能(AKMA Authentication Function,AAuF))实体、PCRF实体、SMF实体等均可以为一个单独的服务器,在一些情况下,也可以表现为多个功能实体共用一个服务器。
实施例1
相关技术中AKMA方案只是单一的从5G核心网密钥体系中生成一个用于应用层加密的密钥,但是,核心网的网元无法感知到用AKMA生成应用密钥的业务或者会话,因此无法根据不同的应用层密钥来提供可区分的服务。
为解决上述问题,本申请实施例中的锚点功能(Anchor Function,又称为AKMA鉴权功能(AKMA Authentication Function,AAuF))实体在生成KAKMA后,将KAKMA标识以及相应的会话策略发送给PCF。UE在获取KAF之后,在会话建立流程中携带KAKMA标识,SMF通过KAKMA标识获取到该会话的会话策略,并且通过该会话策略来修改相应的会话。基于上述思想,核心网网元可以感知到用AKMA生成应用密钥的业务或者会话,并且为AKMA应用层密钥对应的会话来提供可区分的服务。以下结合实施例详细说明。
根据本申请实施例,提供了一种会话建立的方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图2是根据本申请实施例的一种可选的会话建立的方法的流程示意图。如图2所示,该方法包括以下处理步骤:
步骤S202,UE向AMF发送协议数据单元(Protocol Data Unit,简称为PDU)会话建立请求(PDU Session Establishment Request)消息,该PDU会话建立请求消息中携带密钥标识(KAKMA ID),PDU会话标识(session ID),请求的PDU会话类型(Requested PDU sessionType)等;其中,UE包括但不限于物联网中的设备。
步骤S204,AMF选择一个合适的SMF;具体地,如果AMF中预设了所有待选的切片所对应的SMF,AMF可以根据会话建立请求消息中携带的KAKMA ID来选择支持根据KAKMA ID来提供特殊会话策略的SMF。为了方便AMF选择SMF,UE在会话建立请求消息中,可以携带会话策略类型,例如会话策略类型可以包括专门用于QoS参数优化的会话策略等。
若AMF中没有预设待选的切片所对应的SMF,则AMF首先发送Nnssf_NSSelection_Get消息(NSSF网络切片选择获取消息)到该服务PLMN中的网络切片选择功能实体(NetworkSlice Selection Function,NSSF)。可选的,AMF在NSSF网络切片选择获取消息中可以携带会话策略类型,例如会话策略类型可以包括专门用于QoS参数优化的会话策略等。NSSF可以根据会话策略类型来返回一个相应可以提供该会话策略的网络切片实例标识(NetworkSlice Instance ID,NSI ID)。可选的,在从NSSF获取到相应切片的Network RepositoryFunction(网络贮存功能)NRF信息后,AMF向NRF发送Nnrf_NFDiscovery_Request消息(NRF网络功能发现请求消息)。AMF可以在NRF网络功能发现请求消息中携带会话策略类型信息,NRF可以根据接收到的会话策略类型信息来选择出可以支持会话策略类型的SMF,并且在Nnrf_NFDiscovery_Request消息(NRF网络功能发现请求消息)中,将可以支持会话策略类型的SMF的IP地址或者是全限定域名(Fully Qualified Domain Name,FQDN)发送给AMF,使得AMF可以选择相应的SMF。
步骤S206,AMF向选中的SMF发送Nsmf_PDUSession_CreateSMContext请求消息(SMF PDU会话建立会话管理上下文请求消息),请求消息中包括KAKMA ID;
步骤S208,如果归属公共陆地移动网络(Home Public Land Network,简称为HPLMN)的相应订阅永久标识符(Subscription Permanent Identifier,简称为SUPI),DNN和S-NSSAI的会话管理订阅数据不可用,则SMF使用Nudm_SDM_Get(SUPI,会话管理订阅数据,DNN,HPLMN的S-NSSAI)检索会话管理订阅数据,并且当订阅的数据发生改变后,通过Nudm_SDM_Subscribe(SUPI,会话管理订阅数据,DNN,HPLMN的S-NSSAI)来获取修改后的订阅参数。
步骤S210,SMF向AMF发送Nsmf_PDUSession_CreateSMContext回复消息;
步骤S212,UE通过SMF做二次认证;
步骤S214,SMF选择一个合适的PCF;
步骤S216,SMF向PCF发送Npcf_SMPolicyControl_Create消息(PCF会话管理策略控制创建消息),消息中包括KAKMA ID;
步骤S218,如果PCF没有该UE相关的签约数据,PCF向统一数据存储(Unified DataRepository,UDR)发送请求,并且获取该PDU session相关的数据;
步骤S220,PCF根据KAKMA ID来相应调整或者更新该PDU session的会话策略,例如PDU session的QoS参数,例如QoS优先级(例如5QI,分配和保留优先级(Allocation andRetention Priority,ARP),优先级等级,包延时预算,包错误率,最大数据突发量)等;
步骤S222,PCF向SMF发送Npcf_SMPolicyControl_Create Res消息(PCF会话管理策略控制创建回复消息),消息中携带PDU session的会话策略,例如QoS参数,例如5QI。
步骤S224,SMF根据收到的PDU session的QoS参数来建立相应的PDU session。
其中,PCF在向SMF反馈会话策略之前,可以先对其记录的会话策略进行更新或者从其他网元获取相应的会话策略,例如,可以从AAuF(Anchor Function)中获取会话策略,其获取方式包括但不限于:PCF接收AAuF发送的请求消息,该请求消息可以是已有消息,也可以是专用于发送会话策略的消息,例如,用于会话策略更新的更新请求消息。为了方便理解PCF获取会话策略的过程,以下结合图3将该过程中涉及到的核心网各个网元之间的交互流程详细说明。如图3所示,核心网中各个网元的交互流程如下:
步骤S302,UE向Anchor function发送请求;
步骤S304,Anchor Function应通过向鉴权服务器功能实体AUSF(AuthenticationServer Function)发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务,其中应包括用户身份和Anchor Function标识;
步骤S306,AUSF应向统一数据管理(Unified Data Management,UDM)发送Nudm_UEAuthentication_Get请求;
步骤S308,UDM/ARPF将从RAND,AUTN,XRES*和KAUSF创建5G HE AV。然后,UDM将5GHE AV返回给AUSF;
步骤S310,AUSF应暂时存储XRES*。AUSF应根据XRES*计算HXRES*,并从KAUSF和Anchor function标识计算anchor function key KAKMA,然后AUSF将从UDM/ARPF接收的5GHE AV生成5G AV,用5G HE AV中的KAKMA替换HXRES*和KAUSF的XRES*;
步骤S312,AUSF向Anchor function发送Nausf_UEAuthentication_Authenticate_Response消息,并且将5G SE AV(RAND,AUTN,HXRES*)返回给anchorfunction;
步骤S314,Anchor function将RAND,AUTN发送给UE;
步骤S316,收到RAND和AUTN后,USIM验证AUTN并且计算响应RES。然后,ME将从RES计算RES*。ME应根据KAUSF和Anchor Function标识从CK||IK和KAKMA计算KAUSF
步骤S318,UE将RES*发送给Anchor function;
步骤S320,Anchor function将从RES*计算HRES*,并且anchor function将比较HRES*和HXRES*。如果两者一致,则Anchor Function从Anchor Function的角度考虑验证成功;
步骤S322,Anchor Function将从UE接收到的RES*发送到AUSF;
步骤S324,当AUSF收到RES*时,将对比RES*以及存储的XRES*,如果两者相等,则AUSF应认为认证成功;
步骤S326,AUSF应从归属网络的角度向Anchor function指示认证是否成功。如果验证成功,则凭借Nausf_UEAuthentication_Authenticate_Response将认证结果(result)和KAKMA发送给Anchor Function。
步骤S328,Anchor function计算临时标识符以将用户标识绑定到密钥材料。临时标识符值应以NAI格式生成,方法是采用base64编码和Anchor Function标识符,即base64encode(RAND)@Anchor Function标识符。Anchor function将向UE发送响应消息以指示认证成功。该响应消息还应包括临时标识符和KAKMA的密钥生存期。
步骤S330,Anchor function向PCF发送Npcf_SMPolicyControl_Update消息(PCF会话管理策略更新消息),消息中包括KAKMA ID,以及session policy,session policy中可以包括针对该KAKMA ID的session的QoS参数等。其中,PCF会话管理策略控制更新消息也可以叫PCF会话管理策略控制关联消息,或者是PCF会话管理策略控制修改消息等。此消息的功能是提供或者建立KAKMA与新的策略之间的关联关系。可选的,PCF也可以预先设置针对运营商根密钥衍生出的会话密钥(例如KAKMA或者KAF)所对应的会话策略。当UE完成经由AnchorFunction的引导鉴权(bootstrapping authentication)过程后,Anchor function向PCF发送KAKMA ID,KAKMA ID用来关联PCF中预设置的会话策略。可选的,在Anchor function向PCF发送的PCF会话管理控制更新消息中,还可以包括会话策略标识,会话策略标识用于指示KAKMA ID关联的会话策略。
步骤S332,PCF记录KAKMA ID所对应的session policy。
基于图2和图3所示实施例中的流程,本申请实施例提供了一种会话建立的方法。图4a是根据本申请实施例的一种会话建立的方法的流程示意图。如图4a所示,该方法包括以下处理步骤:
步骤S402,会话管理功能实体向策略控制功能实体发送第一请求消息,第一请求消息中包括密钥标识;在一个可选的实施例中,密钥标识对应的密钥用于生成应用层的端到端密钥,例如从KAKMA衍生出来的KAF。本发明方案中的应用层端到端密钥不限于从运营商根密钥衍生出来的应用层密钥,例如KAF
其中,上述第一请求消息包括但不限于:基于会话策略控制创建消息(例如Npcf_SMPolicyControl_Create)。
步骤S404,会话管理功能实体接收策略控制功能实体返回的第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略;在本申请的一些实施例中,上述会话策略包括但不限于:修改会话的QoS参数,例如,QoS优先级。上述第一应答消息包括但不限于:会话管理策略控制创建响应消息(Npcf_SMPolicyControl_Create Response)。
步骤S406,会话管理功能实体依据会话策略建立或修改会话。例如,会话管理实体依据QoS优先级建立相应QoS会话的优先级。例如,可以修改该会话对应的5GI值(5G QoSIndicator)。
在上述实施例中,由于在建立会话或修改会话过程中,在消息中设置了密钥标识,因此,可以使用不同的应用层密钥对相应的会话或业务进行区分。
对于同一个UE或者同一类UE而言,其可以参与多个业务或会话,例如,对于每个会话分别对应一个会话策略,并且,每个会话的会话策略可以通过上述密钥标识进行区分,从而核心网网元可以感知到用AKMA生成应用密钥的业务或者会话,并且为AKMA应用层密钥对应的会话来提供可区分的服务。采用本申请实施例中的方案,在UE基于5G核心网生成的第一密钥生成应用层密钥后,物联网中的用户设备UE向应用层服务器发送应用层消息,其中,该应用层消息为使用应用层密钥进行加密后的消息。其中,应用层服务器在向UE提供相应的服务之前,UE向核心网中的AMF发送会话建立请求,其中,请求中携带有第一密钥的密钥标识;AMF选择一个SMF建立会话,具体流程参见图2所示过程,此处不再赘述。
在本申请的一些实施例中,在PCF向SMF发送会话策略之前,PCF如果检测到其并没有UE相关的签约数据,PCF会向UDR发送请求,以获取建立会话所需的相关数据。
由于SMF在请求会话策略时,需要使用密钥标识,因此,在步骤S402之前,需要获取相应的密钥标识,例如,在在会话管理功能实体向策略控制功能实体发送第一请求消息之前,会话管理功能实体接收接入和移动管理功能实体(Access and Mobile ManagementFunction,AMF)发送的第二请求消息,其中,该第二请求消息用于请求用于建立会话的上下文信息,第二请求消息中包括密钥标识。其中,上述第二请求消息包括但不限于:Nsmf_PDUSession_CreateSMContext请求消息。
其中,会话管理功能实体是接入和移动管理功能实体基于接收的会话建立请求消息中的密钥标识确定的。具体可以通过以下过程实现:在接收接入和移动管理功能实体发送的第二请求消息之前,接入和移动管理功能实体接收用户设备发送的会话建立请求消息,该会话建立请求消息中至少包括:密钥标识;接入和移动管理功能实体确定用于接收第二请求消息的会话管理功能实体,会话管理功能实体的选择策略与切片对应的参数属性相关,例如AMF需要通过NSSF来确定一个相应的SMF;也可以是依据会话管理功能实体的负载情况确定,但不限于此。上述会话建立请求消息包括但不限于:PDU SessionEstablishment Reqest消息。
在一些可选的实施例中,上述会话建立请求消息中还包括以下至少之一信息:会话标识、会话类型。
上述会话策略的获取方式有多种,例如,在会话管理功能实体接收策略控制功能实体返回的第一应答消息之前,即会话管理功能实体接收相应的会话策略之前,会话管理功能实体接收策略控制功能实体发送的第一消息,第一消息包括密钥标识以及与密钥标识对应的会话策略,第一消息是策略控制功能实体从锚点功能实体获得的。
又例如,PCF预置与AKMA密钥相对应的会话策略,当锚点功能(anchor function)实体把密钥ID发送给PCF后,PCF自动匹配会话策略以及密钥ID,具体地,PCF接收来自anchrfunction实体的密钥ID;PCF查找与密钥ID对应的会话策略。
上述第一消息包括但不限于:专用于发送密钥标识和相应的会话策略的消息,例如,在一些可选实施例中,策略控制功能实体接收锚点功能实体发送的第三请求消息,其中,第三请求消息用于请求更新会话策略,第三请求消息中包括:密钥标识以及与密钥标识对应的会话的会话策略。具体地:锚点功能实体向PCF发送用于会话策略的更新的更新消息;PCF记录上述更新消息中的会话标识以及与密钥标识对应的会话策略。
上述第一消息还可以是SMF和PCF之间已有的交互消息,具体可以根据实际情况灵活选择。
如图4b所示,在一个窄带物联网的应用场景中,核心网产生应用层密钥后,核心网生成应用层密钥的密钥标识,并将密钥标识应用至如图4b所示的核心网网元的交互流程中。在一个物联网场景中,摄像头采集用户的图像信息;然后将图像信息发送至应用服务器,其中,为保证安全性,在上传图像时可以对图像信息采用应用层密钥进行加密;应用服务器基于图像信息识别用户的身份执行相应的操作,其中,在用户身份验证通过后,控制门锁执行开锁操作。
实施例2
本实施例提供了一种会话建立的装置,该装置应用于会话管理实体中,如图5所示,该装置包括:
发送模块50,应用向策略控制功能实体发送第一请求消息,第一请求消息中包括密钥标识;
接收模块52,用于接收策略控制功能实体返回的第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略;
处理模块54,用于依据会话策略建立或修改会话。
在本申请的一些实施例中,上述接收模块52,还用于在会话管理功能实体向策略控制功能实体发送第一请求消息之前,接收接入和移动管理功能实体发送的第二请求消息,其中,该第二请求消息用于请求用于建立会话的上下文信息,第二请求消息中包括密钥标识。
其中,上述会话管理功能实体是接入和移动管理功能实体基于接收的会话建立请求消息中的密钥标识确定的。例如:AMF实体接收用户设备发送的会话建立请求消息,该会话建立请求消息中至少包括:密钥标识;AMF实体确定会话管理功能实体。
需要说明的是,本实施例的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例3
图6是根据本申请实施例的一种会话建立的方法的流程示意图。如图6所示,该方法包括:
步骤S602,策略控制功能实体接收会话管理功能实体发送的第一请求消息,第一请求消息中包括密钥标识;
步骤S604,策略控制功能实体向会话管理功能实体发送第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略,第一应答消息用于使得会话管理功能实体依据会话策略建立或修改会话。
在本申请的一些可选实施例中,策略控制功能实体向会话管理功能实体发送第一应答消息之前,策略控制功能实体接收锚点功能实体发送的第一消息,其中,第一消息中包括:密钥标识和与密钥标识对应的会话策略。具体地:策略控制功能实体接收锚点功能实体发送的第三请求消息,其中,第三请求消息用于请求更新会话策略,第三请求消息中包括:密钥标识以及与密钥标识对应的会话的会话策略。
会话管理功能实体向策略控制功能实体发送第一请求消息,第一请求消息中包括密钥标识;
其中,上述第一请求消息包括但不限于:基于会话策略控制创建消息(例如Npcf_SMPolicyControl_Create)。
在步骤S604之后,会话管理功能实体接收策略控制功能实体返回的第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略;在本申请的一些实施例中,上述会话策略包括但不限于:修改会话的QoS参数,例如,QoS优先级。上述第一应答消息包括但不限于:会话管理策略控制创建响应消息(Npcf_SMPolicyControl_Create Res)。会话管理功能实体依据会话策略建立或修改会话。例如,会话管理实体依据Qos优先级建立相应QoS会话的优先级。
需要说明的是,本实施例的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例4
图7是根据本申请实施例的另一种可选的会话建立的方法的流程示意图。如图7所示,该方法包括:
步骤S702,锚点功能实体获取密钥标识;
步骤S704,锚点功能实体向策略控制功能实体发送第一消息,其中,第一消息中包括密钥标识和与密钥标识对应的会话的会话策略。上述第一消息包括但不限于:专用于发送密钥标识和相应的会话策略的消息,例如,在一些可选实施例中,策略控制功能实体接收锚点功能实体发送的第三请求消息,其中,第三请求消息用于请求更新会话策略,第三请求消息中包括:密钥标识以及与密钥标识对应的会话的会话策略。具体地:锚点功能实体向PCF发送用于会话策略的更新的更新消息;PCF记录上述更新消息中的会话标识以及与密钥标识对应的会话策略。
需要说明的是,本实施例的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例的方法。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例4
本申请实施例提供了一种通信系统,通信系统包括:会话管理功能实体和策略控制功能实体,其中:
会话管理功能实体,用于向策略控制功能实体发送第一请求消息,第一请求消息中包括密钥标识;以及依据策略控制功能实体反馈的会话策略建立或修改会话;
策略控制功能实体,用于向会话管理功能实体发送第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略。
需要说明的是,本实施例的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例5
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的会话建立的方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:会话管理功能实体向策略控制功能实体发送第一请求消息,第一请求消息中包括密钥标识;会话管理功能实体接收策略控制功能实体返回的第一应答消息,其中,第一应答消息中包括与密钥标识对应的会话的会话策略;会话管理功能实体依据会话策略建立或修改会话。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (9)

1.一种会话建立的方法,其特征在于,包括:
会话管理功能实体向策略控制功能实体发送第一请求消息,所述第一请求消息中包括密钥标识;所述会话管理功能实体接收策略控制功能实体发送的第一消息,所述第一消息包括所述密钥标识以及与所述密钥标识对应的会话策略,所述第一消息是所述策略控制功能实体从锚点功能实体获得的;
所述会话管理功能实体接收所述策略控制功能实体返回的第一应答消息,其中,所述第一应答消息中包括与所述密钥标识对应的会话的会话策略;
所述会话管理功能实体依据所述会话策略建立或修改会话。
2.根据权利要求1所述的方法,其特征在于,会话管理功能实体向策略控制功能实体发送第一请求消息之前,所述方法还包括:
所述会话管理功能实体接收接入和移动管理功能实体发送的第二请求消息,其中,该第二请求消息用于请求用于建立会话的上下文信息,所述第二请求消息中包括所述密钥标识。
3.根据权利要求1所述的方法,其特征在于,所述会话管理功能实体是接入和移动管理功能实体基于接收的会话建立请求消息中的所述密钥标识确定的。
4.根据权利要求1所述的方法,其特征在于,所述会话管理功能实体接收策略控制功能实体发送的第一消息之前,所述方法还包括:
所述策略控制功能实体接收锚点功能实体发送的第三请求消息,其中,所述第三请求消息用于请求更新会话策略,所述第三请求消息中包括:所述密钥标识以及与所述密钥标识对应的会话的会话策略。
5.一种会话建立的方法,其特征在于,包括:
策略控制功能实体接收会话管理功能实体发送的第一请求消息,所述第一请求消息中包括密钥标识;
所述策略控制功能实体接收锚点功能实体发送的第一消息,其中,所述第一消息中包括:所述密钥标识和与所述密钥标识对应的会话策略;
所述策略控制功能实体向所述会话管理功能实体发送第一应答消息,其中,所述第一应答消息中包括与所述密钥标识对应的会话的会话策略,所述第一应答消息用于使得所述会话管理功能实体依据所述会话策略建立或修改会话。
6.根据权利要求5所述的方法,其特征在于,所述会话管理功能实体接收所述策略控制功能实体发送的第一消息之前,所述方法还包括:
所述策略控制功能实体接收锚点功能实体发送的第三请求消息,其中,所述第三请求消息用于请求更新会话策略,所述第三请求消息中包括:所述密钥标识以及与所述密钥标识对应的会话的会话策略。
7.一种会话建立的方法,其特征在于,包括:
锚点功能实体获取密钥标识;
所述锚点功能实体向策略控制功能实体发送第一消息,其中,所述第一消息中包括所述密钥标识和与所述密钥标识对应的会话的会话策略。
8.一种会话建立的装置,该装置应用于会话管理实体中,其特征在于,包括:
发送模块,用于向策略控制功能实体发送第一请求消息,所述第一请求消息中包括密钥标识;
接收模块,用于接收策略控制功能实体发送的第一消息,所述第一消息包括所述密钥标识以及与所述密钥标识对应的会话策略,所述第一消息是所述策略控制功能实体从锚点功能实体获得的;接收所述策略控制功能实体返回的第一应答消息,其中,所述第一应答消息中包括与所述密钥标识对应的会话的会话策略;
处理模块,用于依据所述会话策略建立或修改会话。
9.一种通信系统,其特征在于,该通信系统包括:会话管理功能实体和策略控制功能实体,其中:
所述会话管理功能实体,用于向所述策略控制功能实体发送第一请求消息,所述第一请求消息中包括密钥标识;以及依据所述策略控制功能实体反馈的会话策略建立或修改会话;
所述策略控制功能实体,用于向所述会话管理功能实体发送第一应答消息,其中,所述第一应答消息中包括与所述密钥标识对应的会话的所述会话策略;
所述策略控制功能实体,在向所述会话管理功能实体发送第一应答消息前接收锚点功能实体发送的第一消息,其中,所述第一消息中包括:所述密钥标识和与所述密钥标识对应的会话策略。
CN201910766123.9A 2019-08-19 2019-08-19 会话建立的方法及装置、通信系统 Active CN112399412B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201910766123.9A CN112399412B (zh) 2019-08-19 2019-08-19 会话建立的方法及装置、通信系统
US16/995,524 US11368842B2 (en) 2019-08-19 2020-08-17 Session establishment method and means and communication system
US17/738,488 US11770702B2 (en) 2019-08-19 2022-05-06 Session establishment method and means and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910766123.9A CN112399412B (zh) 2019-08-19 2019-08-19 会话建立的方法及装置、通信系统

Publications (2)

Publication Number Publication Date
CN112399412A CN112399412A (zh) 2021-02-23
CN112399412B true CN112399412B (zh) 2023-03-21

Family

ID=74603580

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910766123.9A Active CN112399412B (zh) 2019-08-19 2019-08-19 会话建立的方法及装置、通信系统

Country Status (2)

Country Link
US (2) US11368842B2 (zh)
CN (1) CN112399412B (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11064422B2 (en) * 2019-05-16 2021-07-13 Verizon Patent And Licensing Inc. System and method for enabling subscriber-based policy decisions
US12021827B2 (en) * 2020-03-16 2024-06-25 Nokia Technologies Oy Apparatus, method and computer program to influence 3GPP terminals on preferences between multiple recursive DNS servers
JP7383159B2 (ja) * 2020-03-31 2023-11-17 中興通訊股▲ふん▼有限公司 アプリケーション通信確立のためのパラメータ
CN112512043A (zh) * 2020-10-22 2021-03-16 中兴通讯股份有限公司 一种会话请求方法、装置、终端及存储介质
EP4335072A1 (en) * 2021-05-06 2024-03-13 Telefonaktiebolaget LM Ericsson (publ) Application-specific gpsi retrieval
US20220369196A1 (en) * 2021-05-14 2022-11-17 At&T Intellectual Property I, L.P. Contextual network function selection and transfer
CN115412930A (zh) * 2021-05-26 2022-11-29 维沃移动通信有限公司 策略生成方法、装置、终端、设备及会话管理单元
CN113259988B (zh) * 2021-06-25 2021-11-16 中兴通讯股份有限公司 服务质量设定的方法、通信设备
CN115942305A (zh) * 2021-08-08 2023-04-07 华为技术有限公司 一种会话建立方法和相关装置
CN115706992A (zh) * 2021-08-09 2023-02-17 中国移动通信有限公司研究院 安全通道建立方法、装置、相关设备及存储介质
US20240406786A1 (en) * 2021-10-08 2024-12-05 Samsung Electronics Co., Ltd. Method and device for supporting session continuity by considering maximum allowable bit rate in wireless communication system
CN116108458A (zh) * 2021-11-10 2023-05-12 中国移动通信有限公司研究院 密钥生成方法、装置、终端设备及服务器
CN114500283B (zh) * 2022-01-05 2023-07-21 阿里巴巴(中国)有限公司 核心网的切片处理方法和系统
CN115065735B (zh) * 2022-03-08 2024-08-30 阿里巴巴(中国)有限公司 报文处理方法及电子设备
US20240031803A1 (en) * 2022-07-20 2024-01-25 Cisco Technology, Inc. Device authentication and network function registration and discovery for 5g vertical networks
WO2024081642A1 (en) * 2022-10-12 2024-04-18 Intel Corporation Pipelining services in next-generation cellular networks
CN118714616A (zh) * 2023-03-27 2024-09-27 维沃移动通信有限公司 通信、会话或规则配置或更新的控制、信息传输方法
US12081405B1 (en) * 2023-04-24 2024-09-03 Verizon Patent And Licensing Inc. Systems and methods for enhanced session management policy interface in a wireless network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109309648A (zh) * 2017-07-27 2019-02-05 中国移动通信有限公司研究院 一种信息传输的方法和设备
CN110035433A (zh) * 2018-01-11 2019-07-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040236939A1 (en) 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
WO2006071741A2 (en) 2004-12-23 2006-07-06 Conexant Systems, Inc. Systems and methods for the connection and remote configuration of wireless clients
EP1900245B1 (en) 2005-07-06 2012-09-19 Nokia Corporation Secure session keys context
US7903817B2 (en) 2006-03-02 2011-03-08 Cisco Technology, Inc. System and method for wireless network profile provisioning
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
CN100463391C (zh) 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
US10091648B2 (en) 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
ES2758445T3 (es) 2013-03-25 2020-05-05 Altiostar Networks Inc Protocolo de control de trasmisión en una red de acceso de radio de evolución a largo plazo
CN114285570B (zh) * 2016-07-01 2024-07-16 华为技术有限公司 密钥配置及安全策略确定方法、装置
CN111211913B (zh) * 2017-06-30 2021-04-09 华为技术有限公司 一种计费方法、设备及系统
US11632676B2 (en) * 2018-01-09 2023-04-18 Qualcomm Incorporated Service-based access stratum (AS) security configuration
CN112470432B (zh) * 2018-07-26 2024-11-15 联想(新加坡)私人有限公司 监视数据连接的qos参数
CN113632534A (zh) * 2019-03-26 2021-11-09 中兴通讯股份有限公司 用于监控性能的方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109309648A (zh) * 2017-07-27 2019-02-05 中国移动通信有限公司研究院 一种信息传输的方法和设备
CN110035433A (zh) * 2018-01-11 2019-07-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KPN.Update of solution #17 – Efficient key derivation for e2e security.2019,全文. *

Also Published As

Publication number Publication date
US20210058780A1 (en) 2021-02-25
CN112399412A (zh) 2021-02-23
US20220264292A1 (en) 2022-08-18
US11770702B2 (en) 2023-09-26
US11368842B2 (en) 2022-06-21

Similar Documents

Publication Publication Date Title
CN112399412B (zh) 会话建立的方法及装置、通信系统
JP7455580B2 (ja) ネットワークスライシングをサポートするモバイルシステムにおける強化された登録手続き
CN111147421B (zh) 一种基于通用引导架构gba的认证方法及相关设备
US11722891B2 (en) User authentication in first network using subscriber identity module for second legacy network
CA3096143C (en) Unified subscription identifier management in communication systems
US8861732B2 (en) Method and system for supporting security in a mobile communication system
US9485232B2 (en) User equipment credential system
US20190182654A1 (en) Preventing covert channel between user equipment and home network in communication system
US20160057725A1 (en) Security method and system for supporting re-subscription or additional subscription restriction policy in mobile communications
US10574457B2 (en) Indicator for determination of key for processing message in communication system
CN110191458B (zh) 一种网络漫游互通方法、装置和系统
EP3939200A1 (en) Communication network-anchored cryptographic key sharing with third-party application
US20230045417A1 (en) Authentication between user equipment and communication network for onboarding process
US20240114057A1 (en) Secure user equipment policy data in a communication network environment
WO2020208295A1 (en) Establishing secure communication paths to multipath connection server with initial connection over private network
WO2020208294A1 (en) Establishing secure communication paths to multipath connection server with initial connection over public network
CN105592433B (zh) 设备到设备限制发现业务广播、监听方法、装置及系统
WO2020250032A1 (en) Controlling provision of access to restricted local operator services by user equipment
EP4322480A1 (en) Secure identification of applications in communication network
US20240154803A1 (en) Rekeying in authentication and key management for applications in communication network
US20250113187A1 (en) Authentication between user equipment and communication network for onboarding process
EP3360358A1 (en) Identity profile provisioning technique
CN113543112A (zh) 网络漫游认证方法、装置、电子设备及存储介质
CN118828482A (zh) 一种认证系统及配置方法
CN118160338A (zh) 通信网络中服务应用的安全信息推送

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant